我目前正在尝试为新的 AD 部署设计 OU 和组设计。首先,分类学很难。作为第一次猜测尝试,我们试图将所有 User 对象放在一起OU=Users,以及下面的一些子 OU。
我们有一堆团队和子团队 OU,以及一些工具集 OU,它们根据人们所在的职能团队以及他们需要访问的工具进行分组。
我们希望将用户保留在用户 OU 中,每个团队 OU 都包含一个安全组对象,当用户加入团队或需要工具集访问权限时,我们可以将用户添加到该对象中。
以下是广告的布局方式:
Domain Root
|
|
\--OU=Users
| |
| \--OU=Staff
| | \-Username=Tom.OConnor, MemberOf=RedTeam
| |
| \--OU=Contractors
| |
| \--OU=Visitors
|
|
\--OU=Teams
| |
| \--OU=RedTeam
| | \-GroupName=RedTeam
| |
| \--OU=BlueTeam
| | \-GroupName=BlueTeam
| |
| |
| \--OU=GreenTeam
| | \-GroupName=GreenTeam
|
|
|
\--OU=Toolsets
| |
| \--OU=DevTools
| | \-GroupName=DevTool_CITool
| |
| |
| \--OU=InternetAccess
| | \-GroupName=InternetAccess
用户Tom.OConnor在 Group RedTeam 中。
GPO 应用于OU=RedTeam,OU=Teams.
GPO 结果向导显示此 GPO尚未应用于Tom.OConnor用户。
相反,应用到的 GPO 应用到OU=Staff,OU=Users用户Tom.OConnor。
那么是否可以将 GPO 应用于包含组的 OU,并让 GPO 随后向下渗透,并应用于组的所有成员?
GPO 仅适用于用户对象和计算机对象。
您需要将 GPO 应用到用户 OU,并使用安全组过滤以确保它仅适用于 RedTeam 组的用户。